Expertos en seguridad han revelado detalles de una nueva campaña dirigida al gobierno de EE. UU. y a entidades políticas utilizando señuelos de temática política para ofrecer una puerta trasera conocida como LOTUSLITA.
La campaña de malware dirigido aprovecha señuelos relacionados con el acontecimientos geopolíticos recientes entre Estados Unidos y Venezuela para distribuir un archivo ZIP («Estados Unidos ahora decide qué sigue para Venezuela.zip») que contiene una DLL maliciosa que se inicia utilizando técnicas de carga lateral de DLL. No se sabe si la campaña logró comprometer con éxito alguno de los objetivos.
La actividad se ha atribuido con moderada confianza a un grupo patrocinado por el estado chino conocido como panda mustang (también conocido como Earth Pret, HoneyMyte y Twill Typhoon), citando patrones tácticos y de infraestructura. Vale la pena señalar que el actor de amenazas es conocido por depender en gran medida de la carga lateral de DLL para lanzar sus puertas traseras, incluido TONESHELL.
«Esta campaña refleja una tendencia continua de phishing dirigido utilizando señuelos geopolíticos, favoreciendo técnicas de ejecución confiables como la carga lateral de DLL en lugar del acceso inicial basado en exploits», dijeron los investigadores de Acronis Ilia Dafchev y Subhajeet Singha. dicho en un análisis.
La puerta trasera («kugou.dll») empleada en el ataque, LOTUSLITE, es un implante C++ hecho a medida que está diseñado para comunicarse con un servidor de comando y control (C2) codificado utilizando las API WinHTTP de Windows para permitir la actividad de balizamiento, tareas remotas usando «cmd.exe» y exfiltración de datos. La lista completa de comandos admitidos es la siguiente:
- 0x0A, para iniciar un shell CMD remoto
- 0x0B, para terminar el shell remoto
- 0x01, para enviar comandos a través del shell remoto
- 0x06, para restablecer el estado de la baliza
- 0x03, para enumerar archivos en una carpeta
- 0x0D, para crear un archivo vacío
- 0x0E, para agregar datos a un archivo
- 0x0F, para obtener el estado de la baliza
LOTUSLITE también es capaz de establecer persistencia realizando modificaciones en el Registro de Windows para garantizar que se ejecute automáticamente cada vez que el usuario inicia sesión en el sistema.
Acronis dijo que la puerta trasera «imita las travesuras de comportamiento de Claimloader al incorporar mensajes provocativos». Claimloader es el nombre asignado a una DLL que se inicia mediante la carga lateral de DLL y se utiliza para implementar PUBLOAD, otra herramienta de Mustang Panda. El malware fue documentado por primera vez por IBM X-Force en junio de 2025 en relación con una campaña de ciberespionaje dirigida a la comunidad tibetana.
«Esta campaña demuestra cómo técnicas simples y bien probadas pueden seguir siendo efectivas cuando se combinan con entregas específicas y atractivos geopolíticos relevantes», concluyó la empresa de ciberseguridad de Singapur. «Aunque la puerta trasera LOTUSLITE carece de funciones de evasión avanzadas, su uso de carga lateral de DLL, flujo de ejecución confiable y funcionalidad básica de comando y control refleja un enfoque en la confiabilidad operativa en lugar de la sofisticación».
La revelación se produce cuando The New York Times publicado detalles sobre un supuesto ciberataque emprendido por Estados Unidos para interrumpir el suministro eléctrico a la mayoría de los residentes en la ciudad capital de Caracas durante unos minutos, antes de la operación militar del 3 de enero de 2026 que capturó al presidente venezolano Nicolás Maduro. la mision
«Apagar la electricidad en Caracas e interferir con el radar permitió que helicópteros militares estadounidenses ingresaran al país sin ser detectados en su misión de capturar a Nicolás Maduro, el presidente venezolano que ahora ha sido llevado a Estados Unidos para enfrentar cargos por drogas», informó el Times.
«El ataque provocó que la mayoría de los residentes de Caracas se quedaran sin electricidad por unos minutos, aunque algunos barrios cercanos a la base militar donde fue capturado el señor Maduro quedaron sin electricidad por hasta 36 horas.»
Fuente